捕獲時間
2009-2-12
病毒摘要
該樣本是使用“ VC ”編寫的木馬下載器程序�,由微點主動防御軟件自動捕獲,文件長度為“366,966字節”����,圖標為“
”����,使用“exe”擴展名��,通過“網頁木馬”�����、“文件捆綁”途徑植入用戶計算機,運行后聯網下載其他木馬到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�����、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶�,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�,微點將報警提示您發現"Trojan-Downloader.Win32.Agent.aqjq”����,請直接選擇刪除(如圖2)���。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝����,避免病毒通過捆綁的方式進入您的系統����。
2���、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺���,并開啟防火墻攔截網絡異常訪問�,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3�����、開啟windows自動更新���,及時打好漏洞補丁���。
病毒分析
(1)���、修改系統時間年份為2007年����。
(2)、利用API函數“URLDownloadToFileA”下載網絡木馬列表到本地與其他木馬���,下載后通過API函數“ShellExecuteA”調用運行下載的木馬文件。
病毒創建文件:
%SystemRoot%\SYSTEM\WINDOWS.TXT
%SystemRoot%\SYSTEM\a.exe
%SystemRoot%\SYSTEM\aaa.exe
%SystemRoot%\SYSTEM\aaaaaa.exe
%SystemRoot%\SYSTEM\aaaaaaaaaaaaa.exe
%SystemRoot%\SYSTEM\aaaaaaaaaaaaaaaaaaaaaaaaaaa.exe
%SystemRoot%\SYSTEM\aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.exe
病毒訪問網絡:
HTTP://WWW.A***88.COM/DOWN/LIST.TXT
http://www.wo****hei.cn/down/2.1hao.exe
http://www.wo****hei.cn/down/5hao.exe
http://www.wo****hei.cn/down/1hao.exe
http://www.wo****hei.cn/down/3hao.exe
http://www.wo****hei.cn/down/2hao.exe
http://www.wo****hei.cn/down/gezi.exe
http://www.wo****hei.cn/down/abc.exe
